• 1. 本公司依個人資料保護法及個人資料保護法施行細則之要求，保護個人資料蒐集、處理、利用、儲存、傳輸、銷毀之過程。
• 2. 本公司為管理個人資料之需求，建立管理組織，制訂、推動、實施個人資料保護管理。
• 3. 保護本公司個人資料之安全，免於因外在威脅，或內部人員不當之管理與使用，致遭受竊取、竄改、毀損、滅失、或洩漏等風險。
• 4. 提升同仁個人資料保護與管理能力，定期辦理個人資料保護宣導教育訓練，以降低營運風險並創造可信賴之個人資料保護及隱私環境。
• 5. 本公司依相關法律要求及規定，克盡個人資料保護之目標及義務，並且維護及落實個人資料管理制度。
• 6. 依適用的法律、規定、契約及專業責任，以及個人、其他主要利害關係人的利益，適時改進個人資料管理制度。
• 7. 定期針對個人資料流程進行風險評鑑，鑑別可承受之風險等級，並針對不可接受之風險進行風險處理。

• 1. 本公司只基於法律規範要求及合法之目的，且在確實必要範圍內使用個人資訊。
• 1.1. 本公司因營運所需取得或蒐集之包括但不限於個人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動..等個人資料，應遵循我國個人資料保護法等法令。
• 1.2. 不過度且符合目的、相關且適當並公平與合法地從事個人資料之蒐集與處理。
• 1.3. 在業務活動的過程中僅於特定目的及個人資料類別內取得個人資料，並且只進行合於組織目的之蒐集、處理及利用。
• 1.4. 本公司之委外廠商或合作廠商與本公司業務合作時，均應簽訂保密契約，使其充分瞭解個人資料保護之重要性及洩露個資之法律責任。倘有違反保密義務之情事者，將依法追究其民事及刑事責任。
• 1.5. 僅在法律規定及本公司業務活動內進行個人資料之蒐集、處理及利用。
• 1.6. 本公司依個資法及ISO 27701規定，行使請求查詢、閱覽、複製、補充、更正、傳輸電子檔、刪除、停止蒐集、處理、利用、反對特定用途、可攜帶至其他組織、限制處理及利用（發生爭議、不合法待釐清前暫時停止處理及利用）之權利，並依個資法規定時限內完成辦理。
• 1.7. 本公司因執行業務所擁有之個人資料負有保密義務，除下列情形外，本公司不得對第三人揭露：
• 1.7.1. 司法機關、監察機關、檢察機關、調查機關或警政機關因偵查犯罪或調查證據所需依法請求提供資料者。
• 1.7.2. 其他政府機關因執行公權力並有正當理由所需者。
• 1.7.3. 與公眾生命安全有關之機關（構）為緊急救助所需者。
• 2. 本公司僅使用目的所需之最低限度的個人資訊。
• 2.1. 僅蒐集最少量的個人資料，不處理過多的個人資料，且僅依原始蒐集之特定目的使用個人資料。
• 3. 將如何使用個人資訊及處理者資訊，清楚提供給當事人（包含未滿十八歲）。
• 3.1. 對於個人資料之保護，將明確告知並設置諮詢管道，提供當事人有關個人資料將如何被使用及被誰利用的清楚資訊。
• 3.2. 為保持個人資料正確性，依作業性質及當事人之請求，予以保持最新，確保當事人權利。
• 4. 直接蒐集未成年人個人資訊時，應有對應之安全防護措施。
• 5. 公平且合法的使用處理個人資訊。
• 5.1. 本著合法、公平、公正、公開的合理處置原則，進行蒐集、處理及利用必要之個人資料，且建立相關管理制度合理地處理所取得之個人資料。
• 6. 應維持一份列有本公司所使用之個人資料類別的文件化清單。
• 7. 對於所取得之個人資料，應建立個人資料檔案清冊並適當維護相關內容。
• 8. 只有在基於法律或法規的要求或合法的組織目的時留存個人資訊，且確保及時與適當的處置。
• 8.1. 個人資料保存期限，僅在合乎法律、規定、組織規範或當事人同意目的內進行。
• 9. 尊重自然人對其個人資訊的權利。
• 9.1. 當本公司接獲個人資料調閱或異動之需求時，應依個資法、ISO 27701及本公司所訂之程序，於合法、標準規範範圍內接受當事人行使請求查詢、閱覽、複製、補充、更正、傳輸電子檔、刪除、停止蒐集、處理、利用、反對特定用途、可攜帶至其他組織、限制處理及利用（發生爭議、不合法待釐清前暫時停止處理及利用）權利。
• 9.2. 尊重當事人權利，建立相關處理流程。
• 10. 保護所有個人資料的安全。
• 10.1. 建立相關安全控管措施。
• 10.2. 個人資料檔案應建立管理制度，分級分類管理，並針對接觸人員建立安全管理規範。
• 10.3. 應強化個人資料檔案資訊系統之存取安全，防止非法授權存取，維護個人資料之隱私性，應建立安全保護機制，並定期查核。
• 10.4. 個人資料檔案儲存於個人電腦者，應於該電腦設置可辨識身分之登入通行碼，並視業務及重要性，考量其他輔助安全措施。
• 10.5. 個人資料輸入、輸出、儲存、更新、銷毀等處理行為，應釐清個資範圍及權限。
• 10.6. 本公司各單位如遇有個人資料檔案發生遭人惡意破壞、毀損或作業不慎等安全事件，應進行緊急因應措施，並依本公司個人資料事件管理程序辦理。
• 10.7. 本公司係以嚴密之措施、政策保護當事人之個人資料，包括本公司之所有員工，均受有完整之個資法及隱私權保護之教育訓練。倘有洩露個資之情事者，將依法追究其民事、刑事及行政責任。
• 11. 僅在個人資訊受到適當保護的情況下，才得以將該資訊傳輸至境外國家。
• 11.1. 本公司於利用個人資料時，除需依個資法之特定目的必要範圍內為之外，如需為特定目的以外之利用時，將依據個資法第二十條之規定辦理；倘有需取得當事人同意之必要者，本公司應依法取得當事人之同意。
• 11.2. 本公司所蒐集、處理之個人資料，應遵循我國個資法及本公司個人資料管理制度之規範，且個人資料之使用為本公司營運或業務所需，方可為本公司承辦同仁利用。
• 11.3. 僅在個人資訊受到適當保護的情況下，才得以將該資訊傳輸至境外國家或地區。有以下情形時，應配合主管機關辦理個人資料國際傳輸：
• 11.4. 涉及國家重大利益。
• 11.5. 國際條約或協定有特別規定。
• 11.6. 接受國對於個人資料之保護未有完善之法規，致有損當事人權益之虞。
• 11.7. 以迂迴方法向第三國（地區）傳輸個人資料規避個人資料保護法。
• 12. 本公司於利用個人資料時，除需依個資法之特定目的必要範圍內為之，倘有需取得當事人同意之必要者，本公司應依法取得當事人之同意。
• 13. 接受本公司所提供之產品與服務的自然人若為海外其他國家人民時，適用我國個人資料保護法之規定。
• 14. 個人資料保護法所允許的各種例外狀況之適用。
• 14.1. 遵守個人資料保護相關法規，包含其他法規豁免例外應用。
• 14.2. 依據個資法第六條之規定，有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料，不得蒐集、處理或利用。但有下列情形之一者，不在此限：
• 14.2.1. 法律明文規定。
• 14.2.2. 公務機關執行法定職務或非公務機關履行法定義務必要範圍內，且事前或事後有適當安全維護措施。
• 14.2.3. 當事人自行公開或其他已合法公開之個人資料。
• 14.2.4. 公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計或學術研究而有必要，且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
• 14.2.5. 為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內，且事前或事後有適當安全維護措施。
• 14.2.6. 經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用，或其同意違反其意願者，不在此限。
• 14.3. 依據個資法第二十條之規定，本公司對個人資料之利用，除個資法第六條第一項所規定資料外，應於蒐集之特定目的必要範圍內為之。但有下列情形之一者，得為特定目的外之利用：
• 14.3.1. 法律明文規定。
• 14.3.2. 為增進公共利益。
• 14.3.3. 為免除當事人之生命、身體、自由或財產上之危險。
• 14.3.4. 為防止他人權益之重大危害。
• 14.3.5. 公務機關或學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。
• 14.3.6. 經當事人同意。
• 14.3.7. 有利於當事人權益。
• 15. 發展並實施個人資訊管理系統以落實PIMS政策。
• 15.1. 本公司應建立與實施個人資料管理制度（PIMS），以確認本政策之實行；全體員工及委外廠商應遵循個人資料管理制度（PIMS）之規範與要求，並定期審查PIMS之運作。
• 15.2. 持續發展及實施個人資料保護管理工作，以確保政策得以落實。
• 16. 識別內部及外部的利害關係者，並確認該關係者所涉及組織PIMS治理程度。
• 16.1. 適當鑑別並諮詢利害關係人，以增加利害關係人的參與程度。
• 16.2. 利害關係人之期許。
• 16.3. 為確保本公司矯正預防措施之有效運作，應落實管理審查機制，本公司每年須由個人資料保護暨資通安全委員會至少召開一次管理審查會議。
• 17. 識別對PIMS有特定職責且承擔責任之人員。
• 17.1. 為有效執行個人資料保護與管理各項工作，應成立「個人資料保護暨資通安全委員會」（委員會成員應包含高階主管），規範本公司內所有成員之責任與義務，防止個人資料被竊取、竄改、毀損、滅失或洩漏，並遵循法令法規及持續有效地落實個人資料保護最佳實務。
• 17.2. 確認相關人員在個人資料管理制度內之職責及責任。
• 18. 維持個人資訊處理使用之紀錄。

版本：1.0

核定日期：114年7月1日